TDS Polygon усилит эшелонированную защиту Тинькофф Банка

TDS Polygon усилит эшелонированную защиту Тинькофф Банка

TDS Polygon усилит эшелонированную защиту Тинькофф Банка

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и Тинькофф Банк, инновационный онлайн-провайдер финансовых услуг, сообщают об успешном внедрении эшелонированной системы кибербезопасности, основанной на комплексе продуктов для выявления угроз «нулевого» дня и предотвращения целевых атак. Важным элементом системы стал флагманский продукт Group-IB – Threat Detection System Polygon (TDS). «Пилотный» проект в Тинькофф банке подтвердил качество поведенческих отчетов TDS, позволяющих оценить степень критичности угрозы для банка, а также показал высокую эффективность при выявлении ранее неизвестных векторов хакерских атак.

Тинькофф Банк — первый и единственный в России полностью онлайн-банк, обслуживающий свыше семи миллионов клиентов дистанционно через онлайн-каналы и контакт-центр. Уникальная структура банка накладывает высокие требования к уровню информационной безопасности как внутренних ИТ-систем, так и финансовых продуктов и сервисов. В этом контексте ключевыми приоритетами для Тинькофф Банка являются стабильное бесперебойное функционирование операционных процессов и превентивная защита от широкого спектра киберугроз, несущих потенциальные риски для ежедневной работы банка.

Несмотря на широкое распространение антивирусных средств, зачастую они оказываются бессильны перед целевыми атаками хакерских групп, эпидемиями вирусов-шифровальщиков, атаками на платежную инфраструктуру с использованием методов социальной инженерии, нелегитимным использованием ресурсов компаний для криптомайнинга и др. Ключевую роль в выявлении угроз, относящихся к категории «нулевого дня» (т.е. ранее неизвестных) играют продукты класса Anti-APT (англ. Advanced Persistent Threat — «развитая устойчивая угроза», целевая кибератака), позволяющие проводить многосторонний анализ вредоносных файлов в, так называемой, «песочнице» – изолированной от основной сети банка среде.

В качестве такой «песочницы» в Тинькофф Банке использовалось решение одного из ведущих международных вендоров. Однако, практика показала, что существующей конфигурации недостаточно. Банк принял решение усилить качество детектирования, сделав ставку на эшелонированную защиту, основу которой составили сразу несколько «песочниц». По итогам продолжительного тестирования различных продуктов в стэк решено было включить высокотехнологичную систему раннего выявления кибератак Group-IB Threat Detection System Polygon.

«Нам важно заранее узнавать о появлении новых типов угроз и оперативно реагировать на них, минимизируя возможные риски, – комментирует Дмитрий Гадарь, руководитель Департамента информационной безопасности Тинькофф Банка. – Мы решили развернуть «эшелон песочниц», сделав упор на обнаружение, прежде всего, угроз «нулевого дня». Именно они являются наиболее опасными и могут быть выявлены только умными системами поведенческого анализа, позволяющими изучить файл до того, как он попадет на компьютер пользователя. В рамках тестирования TDS Polygon показал высокую эффективность работы и правильность выбранной нами стратегии. Сейчас продукт успешно используется в “боевом” режиме».

По оценке Group-IB в ближайшее время большинство российских банков придет к необходимости использования эшелонированной защиты с использованием наиболее функционального и надежного “конструктора”, как минимум из двух Anti-APT, одно из которых умеет “разговаривать” с угрозами на языке страны-источника, а второе ориентировано на детектирование широкого спектра вредоносной активности.

В Group-IB подчеркивают, что синтетические, «выдуманные» кейсы для тестирования качества «песочниц» не дадут практического результата. Именно поэтому совместно со специалистами Tинькофф Банка было инициировано пилотное тестирование Group-IB Threat Detection System Polygon исключительно на реальных данных, с учетом специфики банка, объемов обрабатываемой информации, типичных сценариев работы и других характеристик реального ИТ-ландшафта компании. 

«Эффективные Anti-APT решения должны не просто осуществлять статический и динамический анализ файлов, но и противостоять множеству техник, позволяющих злоумышленникам обнаруживать виртуализацию ОС и обходить технологию детектирования угроз другими, довольно разнообразными, способами. Дьявол всегда в деталях: даже такие, казалось бы, простые вопросы как анализ ссылок, поддержка сотен форматов файлов, изменяющие во времени свое состояние ссылки, – все это серьезный вызов для вендоров, разрабатывающих продукты этого класса. Немаловажна и полнота предоставляемых поведенческих отчетов: детальный разбор действий объекта анализа и наступающих в системе изменений позволяют аналитику, работающему с системой, сделать свой экспертный независимый вывод о правильности вердикта и степени угрозы, который несет данный файл. Эти задачи решает TDS Polygon, что и было продемонстрировано в ходе успешного пилота на реальных кейсах Тинькофф Банка», – резюмирует Никита Кислицин, Руководитель Департамента сетевой безопасности Group-IB.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru